当協会が会員企業向けに提供しております派遣社員向けeラーニングサービス「JASSAキャリアカレッジ」の業務委託先であるリスクモンスター株式会社(以降「リスクモンスター社」)より個人情報流出に該当する事案があったことが2022年7月1日に発表されました。
サイバックスUniv.システム連携用サーバーの個人情報流出事案について
(7月6日追記) 7月5日にリスクモンスター株式会社より、詳報について開示がございました。
◆リスクモンスター株式会社によるプレスリリース
サイバックスUniv.システム連携用サーバーの個人情報漏えいについて
◆サイバックスUNIV.(サービスページ)のリリース
サイバックスUniv.システム連携用サーバーの個人情報漏えいについて(続報)
「JASSAキャリアカレッジ」をご利用中の会員企業の皆様にご心配とご迷惑をおかけしたことをお詫び申し上げます。
事案の概要、流出のおそれのある情報等につきましては以下のとおりです。(7月6日更新)
1.事案の概要
検索エンジン(Google 等)を使い、会社名、氏名等で検索すると、リスクモンスター社のシステム連携用サーバーのページ情報の一部が表示される事象を、同社のサービス(JASSAキャリアカレッジではございません)利用者から通報により確認いたしました。
6月30日以降は、外部からのアクセスはできない状態になっており同様の事象は発生しておりません。
2.流出のおそれのある情報
システム連携用サーバー登録者約25万人の会社名、部署名、氏名です。
このうちJASSAキャリアカレッジ利用者は88,580人になります。
なお、住所や生年月日、メールアドレス、電話番号等の情報は、本件サーバーには登録されておりません。
3.外部アクセスが可能であった期間
2020年2月16日(本件サーバー環境の変更日)以降、2022年6月29日まで
なお、JASSAキャリアカレッジの利用者については2021年3月1日~2022年6月29日までとなります。
4.影響範囲
直近3ヶ月間でGoogle 経由での本件サーバーへのアクセスは18件でした。そのうち1件のユーザー情報のダウンロード履歴があり、ダウンロードされた個人情報は5,934件でしたが、JASSAキャリアカレッジの利用者の情報は含まれておりません。
なお、ダウンロード実施者に対してリスクモンスター社より全データの削除を要請し、速やかに応じていただいている旨を確認しております。
また、2022年7月5日(火)21時時点におきまして、第三者への流出は確認されておりません。
5.原因と再発防止策
直接の原因は、本件サーバーの環境変更時のネットワーク誤設定によるものです。本件サーバーは、リスクモンスター社のサイバックス Univ.のサブシステムであり、サブシステム単位での個人情報の洗い出しが不十分であったうえ、セキュリティ対応の見直しもされていませんでした。本件サーバーについては、6月29日16時59分のネットワーク設定変更により、外部からアクセス不可の状態となっております。 リスクモンスター社において、他のサーバー全てに対して、外部に公開がされていないか確認を行い、サーバー設定変更時のテスト強化、複数人によるレビューの徹底等を行う旨の説明をうけております。(再発防止策の詳細につきましては、リスクモンスター社によるプレスリリースをご参照ください。)
6.本件問合せ先
本事案の詳細につきましては、以下にお問い合わせくださいますようお願いいたします。
リスクモンスター株式会社 カスタマーセンター
フリーコール:0120-953-850(平日10:00~16:00)
携帯電話の方は、03-6777-0356(同上)
このたびは、「JASSAキャリアカレッジ」をご利用中の会員企業の皆様にご心配とご迷惑をおかけしたことをあらためてお詫び申し上げます。
当協会といたしましても、リスクモンスター株式会社と連携し、同サービスをより安全に安心してご利用いただけるよう努めてまいります。